Lumo ist ein KI-Assistent für Menschen, denen Privatsphäre wichtig ist. Egal, ob du E-Mails entwirfst, technische Probleme löst oder einfach nur nach Antworten suchst, Lumo hilft dir, mehr zu erledigen, ohne deine Daten zu gefährden. Angetrieben von Open-Source-Sprachmodellen und aufbauend auf der Zero-Access-Verschlüsselung von Proton, bietet Lumo eine sichere Alternative zu herkömmlichen KI-Tools.

Lass uns die Architektur hinter Lumos datenschutzorientiertem Design und die Funktionen erkunden, die es zu einer vertrauenswürdigen Wahl für private, verschlüsselte KI-Unterhaltungen machen.

Warum Datenschutz bei KI wichtig ist

Da Datenlecks und Eingriffe in die Privatsphäre zunehmen, wird die Gewährleistung der Vertraulichkeit großer Sprachmodelle nicht nur zu einer technischen Herausforderung, sondern zu einer ethischen Notwendigkeit. Menschen wenden sich an KI-Assistenten, um Hilfe bei sensiblen Themen zu erhalten, von medizinischen Leiden bis hin zu vertraulichen Geschäftsangelegenheiten. Sie sollten in der Lage sein, diese Art von Informationen zu teilen, ohne befürchten zu müssen, dass ihre Daten zum Trainieren von Sprachmodellen verwendet, von Big-Tech-Unternehmen oder Regierungen ausgenutzt oder in einem Datenleck geleakt werden.

Bei Proton entwickeln wir Produkte mit integriertem Datenschutz, und Lumo ist da keine Ausnahme. Einzelpersonen und Organisationen sollten in der Lage sein, KI mit Zuversicht zu nutzen, in dem Wissen, dass ihre sensibelsten Informationen geschützt bleiben.

Herausforderungen der vollständigen E2EE für KI-Systeme

Typischerweise umfassen die Datensicherheitsmodelle von Proton eine vollständige Ende-zu-Ende-Verschlüsselung, wie sie in unseren Produkten für private E-Mails und sicheren Cloud-Speicher zu finden ist. Warum? Weil E2EE sicherstellt, dass die Daten für die Plattform selbst niemals zugänglich sind. Wenn du zum Beispiel eine E-Mail in Proton Mail sendest, werden deine Nachrichten auf deinem Gerät verschlüsselt, bevor sie an die Server gesendet werden, und können nur vom beabsichtigten Empfänger geöffnet werden. Proton kann sie nicht sehen, und selbst wenn unsere Server kompromittiert würden, blieben die Nachrichten für alle anderen unlesbar.

Die vollständige Ende-zu-Ende-Verschlüsselung für KI-Systeme stellt besondere Herausforderungen dar. Idealerweise sollten Nachrichten so verschlüsselt sein, dass selbst das LLM sie nicht lesen kann. Die vielversprechendste Technik hierfür ist die homomorphe Verschlüsselung (HE), die manchmal auch unter der Variante der vollständig homomorphen Verschlüsselung (FHE) diskutiert wird. Allerdings ist HE sehr, sehr ressourcenintensiv und extrem langsam. Während reguläre KI wie ChatGPT auf Anfragen in wenigen Sekunden antwortet, haben Experimente mit HE gezeigt, dass Antworten mehr als einen Tag(neues Fenster) dauern. Obwohl die technische Leistung beeindruckend ist, ist es unpraktisch, so lange auf eine Antwort zu warten.

Wir können offensichtlich nicht einfach dasitzen und darauf warten, dass HE fertig ist. Wir müssen praktische Lösungen für das KI-Privatsphäre-Problem finden – und zwar heute.

Zum Glück gibt es andere Wege, um ein hohes Maß an Privatsphäre und eine reibungslose Benutzererfahrung zu bieten. Sicherheit ist untrennbar mit Praktikabilität verbunden(neues Fenster); ein System, das Sicherheit auf Kosten der Benutzerfreundlichkeit priorisiert, wird wahrscheinlich zu wenig genutzt, was es letztendlich weniger schützend macht.

Mit Lumo implementieren wir verschiedene Formen der Verschlüsselung, um die Privatsphäre der Benutzer zu maximieren. Im Vergleich zu anderen LLM-Apps ist die Implementierung von Lumo einfach viel stärker als alles andere auf dem Markt. Um zu verstehen, warum, müssen wir zwei verschiedene Phasen der Interaktion einer Person mit KI betrachten:

Verschlüsselung während der Übertragung: Wie stellen wir sicher, dass Nachrichten zwischen dem Benutzer und der KI für niemanden sonst lesbar sind?

Verschlüsselung im Ruhezustand: Wie gewährleisten wir eine private Langzeitspeicherung?

Jede dieser beiden Stufen erfordert eine eigene Lösung, die wir in den folgenden Abschnitten untersuchen.

Benutzer-zu-Lumo (U2L) Verschlüsselung: Sicherung des Pfades zum LLM

Unsere erste Lösung für das Problem des sicheren Chattens mit einer KI besteht darin, die gesamte Kommunikation zwischen dem Gerät des Benutzers und Lumo zu verschlüsseln. Normalerweise sind bei der Ende-zu-Ende-Verschlüsselung beide „Enden“ Menschen, aber hier wäre das andere Ende das Sprachmodell selbst. Wie oben erwähnt, wäre eine echte E2EE, die den LLM-Server umgeht, bei Verwendung von homomorpher Verschlüsselung oder etwas anderem viel zu langsam. Wir müssen dem LLM also Klartextnachrichten zur Verfügung stellen.

Abgesehen von E2EE können wir immer noch einen streng gesicherten Pfad zwischen dem Benutzer und Lumo aufbauen. In gewisser Weise könntest du diese Einrichtung als eine Form der Ende-zu-Ende-Verschlüsselung definieren, bei der der Benutzer ein „Ende“ und Lumo das andere „Ende“ ist. Allerdings erkennen wir an, dass dies nicht die reguläre Definition von Ende-zu-Ende-Verschlüsselung ist, weshalb wir es vorziehen, es als Benutzer-zu-Lumo (U2L) Verschlüsselung zu bezeichnen, um jegliches Missverständnis zu vermeiden.

Ein Diagramm, wie Lumo deine Anfragen und Antworten verschlüsselt

Um unser Ziel zu erreichen, verwenden wir eine klassische, kampferprobte bidirektionale asymmetrische Verschlüsselung zwischen dem Gerät des Benutzers und dem LLM. Hier sind die wichtigsten Schritte:

  • Öffentlicher Lumo-Schlüssel: Im Voraus veröffentlicht der LLM-Server einen öffentlichen, statischen PGP-Schlüssel für alle Clients. Dieser Schlüssel wird vom Gerät des Benutzers abgerufen und zur Sicherung der Benutzer-zu-Lumo-Richtung der Pipeline verwendet.
  • Verschlüsselung der Benutzernachricht: Das Gerät des Benutzers erzeugt einen symmetrischen AES(neues Fenster)-Schlüssel für die Dauer der Anfrage. Dieser Schlüssel wird für die Verschlüsselung der Nachricht des Benutzers und der Antwort des LLM verwendet. Bei jeder neuen Nachricht müssen wir die gesamte Konversation von oben nach unten senden, da der LLM-Server speicherlos ist und keine Protokolle der Konversation aus einer früheren Sitzung speichert.
  • Verschlüsselung des AES-Schlüssels: Der AES-Schlüssel wird mit dem öffentlichen PGP-Schlüssel des LLM verschlüsselt und zusammen mit der Anfrage gesendet. Dadurch wird sichergestellt, dass nur der LLM-Server, der über den entsprechenden privaten PGP-Schlüssel verfügt, den AES-Schlüssel entschlüsseln kann.
  • Anfrage-ID: Die Lumo-App sendet zusammen mit der Anfrage eine eindeutige Kennung, die Anfrage-ID, unter Verwendung eines gängigen Verschlüsselungsschemas, das als AEAD bekannt ist. Diese ID wird zur Authentifizierung verwendet, um sicherzustellen, dass die Anforderungsnachrichten vertraulich sind und es sich um die ursprüngliche, vom Benutzer erstellte Nachricht handelt. AEAD stellt sicher, dass kein Angreifer die Nachricht oder Antwort durch eine andere Nachricht ersetzt hat.
  • Verschlüsselung der Benutzernachricht: Wenn der Benutzer eine Nachricht an Lumo sendet, wird die Nachricht mit dem AES-Schlüssel verschlüsselt. Dieser Schlüssel wird auch für die Verschlüsselung der Antwort des LLM verwendet.
  • TLS-Verschlüsselung: Die AES-verschlüsselte Benutzernachricht, der verschlüsselte AES-Schlüssel und die Anfrage-ID werden über eine Schicht TLS-Verschlüsselung (HTTPS) an die Proton-Server gesendet. Die TLS-Verschlüsselung ist eine gängige, standardmäßige Praxis, und praktisch alle modernen Websites implementieren sie als Teil ihrer grundlegenden Einrichtung. Es verbirgt einfach den Inhalt deiner Kommunikation vor Dritten im Netzwerk, wie deinem ISP, Internet-Backbone-Routern und dem ISP, der sich mit unserem Rechenzentrum verbindet. (Die TLS-Verschlüsselung erfolgt bei jeder Kommunikation von deinem Gerät zu Proton, nicht nur bei Lumo.)
  • Internes Routing: Die verschlüsselte Nachricht erreicht die Proton-Server am TLS-Terminierungsendpunkt, von wo aus sie durch eine Reihe interner Systeme geleitet wird – Lastausgleich, Lumo-Backend-Anwendungsserver, Nachrichtenwarteschlangen usw. – bis sie schließlich den LLM-Server erreicht. Zu diesem Zeitpunkt ist die Nachricht immer noch verschlüsselt, was bedeutet, dass kein zwischengeschaltetes System innerhalb von Proton den Nachrichteninhalt lesen kann: Sie leiten lediglich undurchsichtige Payloads an den LLM-Server weiter.
  • Entschlüsselung durch LLM-Server: Der LLM-Server besitzt das private Gegenstück des PGP-Schlüssels, mit dem die Anfrage verschlüsselt wurde, und kann somit den AES-Schlüssel entschlüsseln. Mit diesem Schlüssel kann das LLM die entschlüsselte Benutzernachricht sehen und sie direkt verarbeiten. Die Klartext-Nachricht des Benutzers verlässt niemals den Server, und die Anfrage wird nach Abschluss dieser Anfrage nicht vom LLM-Server protokolliert oder aufbewahrt.
  • Antworterstellung: Nachdem die Benutzeranfrage gelesen wurde, beginnt das LLM, eine Antwort zu generieren. Dies geschieht normalerweise in einer Streaming-Weise, was bedeutet, dass das LLM eine Sequenz von Teilwörtern, die als Token bekannt sind, generiert, was zu dem Wort-für-Wort-Effekt führt, den du in den meisten KI-Chat-Apps, einschließlich Lumo, siehst.
  • Antwortverschlüsselung: Um diese Tokens auf ihrem Weg zurück zur Lumo-App des Benutzers zu verschlüsseln, verwenden wir denselben AES-Schlüssel. Jedes Token-Paket wird mit dem AES-Schlüssel verschlüsselt und mit AEAD basierend auf der Anfrage-ID authentifiziert. Es durchläuft die Netzwerkschicht AES-verschlüsselt, wird dann als undurchsichtiger Payload durch interne Proton-Systeme geleitet und dann weiter mit demselben TLS-Kanal zwischen Proton und dem Gerät des Benutzers verschlüsselt, wo es schließlich entschlüsselt werden kann.

Zusammenfassend lässt sich sagen, dass die Nachricht mit einem symmetrischen AES-Schlüssel verschlüsselt wird, der seinerseits mit dem öffentlichen PGP-Schlüssel des LLM verschlüsselt ist. Der LLM-Server entschlüsselt den AES-Schlüssel und verarbeitet die Benutzernachricht direkt vor Ort. Die Antwort wird mit demselben AES-Schlüssel verschlüsselt, wodurch sichergestellt wird, dass die Klartext-Nachricht den Server niemals verlässt. Um deine Privatsphäre zu schützen, vergisst der LLM-Server die Anfrage, sobald die Antwort generiert ist.

All das geschieht automatisch im Hintergrund, sodass du die Vorteile des Chattens mit Lumo genießen kannst, ohne über Verschlüsselung nachdenken zu müssen.

Null-Zugriff-Verschlüsselung im Ruhezustand für den Unterhaltungsverlauf

Sobald das LLM eine Antwort generiert hat, können wir die vollständige Null-Zugriff-Verschlüsselung nutzen, um modernste Sicherheit und Privatsphäre für den Unterhaltungsverlauf zu gewährleisten. Der LLM-Server ist in diesen Schritt nicht involviert; die anstehende Aufgabe besteht darin, Benutzerdaten zur langfristigen Speicherung so aufzubewahren, dass nur der Benutzer sie entschlüsseln kann. Im Gegensatz zum im vorherigen Abschnitt beschriebenen Benutzer-zu-Lumo-Setup, bei dem das andere „Ende“ der LLM-Server war, sind in diesem Fall beide „Enden“ der Benutzer, was der traditionellen Definition von E2EE entspricht. Mit anderen Worten, kein System bei Proton kann jemals einen Lumo-Konversationsverlauf lesen.

Wir verwenden eine robuste Verschlüsselungstechnik, ähnlich der in Proton Mail, Drive und Calendar, die asymmetrische und symmetrische Verschlüsselung kombiniert. Diese Methode stellt sicher, dass nur das Gerät des Benutzers die gespeicherten Daten entschlüsseln kann.

Jeder Inhalt, einschließlich Nachrichten, Konversationsmetadaten und Anhänge, wird mit einem Satz symmetrischer Schlüssel, den sogenannten Konversationsschlüsseln, verschlüsselt. Diese Konversationsschlüssel werden ihrerseits mit einem symmetrischen Hauptschlüssel verschlüsselt, der für jeden Benutzer einzigartig ist. Schließlich wird auch der Hauptschlüssel verschlüsselt, diesmal asymmetrisch, unter Verwendung des PGP-Schlüsselpaars des Benutzers, was zum Entsperren das Benutzerpasswort erfordert. Das bedeutet, dass das Benutzerpasswort die ultimative Sicherheitsschicht und der Eckpfeiler für die Solidität dieses Schemas ist. Es ist im Wesentlichen dasselbe Prinzip – wenn auch mit einer etwas anderen Schlüsselhierarchiestruktur –, das deine Daten in anderen Proton-Apps sichert; in allen Fällen ist dein Kontopasswort immer das oberste Schloss für deinen Datentresor.

Nachdem ein Benutzer eine Nachricht an Lumo gesendet und eine Antwort erhalten hat, schließt die Client-Anwendung die im ersten Abschnitt beschriebene PGP-gesicherte Verbindung und bereitet die langfristige Speicherung der Konversation vor. Es beginnt damit, beide Nachrichten mit dem Konversationsschlüssel zu verschlüsseln. Diese verschlüsselten Nachrichten werden dann zur Speicherung in unseren Rechenzentren an die Proton-Server gesendet. Obwohl die Dateien auf unseren Servern gespeichert sind, verhindert die Null-Zugriff-Verschlüsselung, dass wir (oder irgendjemand sonst) sie öffnen können. Aber Benutzer können sich in ihr Konto einloggen und auf ihren Konversationsverlauf in der linken Seitenleiste der Lumo-App zugreifen.

Zusätzlich werden Konversationsdaten im lokalen Speicher des Browsers zwischengespeichert, wobei dasselbe Verschlüsselungsschema verwendet wird. Das bedeutet, dass deine Daten auch dann sicher bleiben, wenn jemand deine Festplatte stiehlt, solange der Dieb dein Passwort nicht kennt.

Durch die Implementierung dieses mehrschichtigen Verschlüsselungsansatzes stellen wir sicher, dass deine Unterhaltungen mit Lumo nicht nur während der Übertragung sicher, sondern auch im Ruhezustand geschützt sind. Dieses Engagement für Privatsphäre und Sicherheit steht im Mittelpunkt von allem, was wir bei Proton tun, und wir sind stolz darauf, diese Prinzipien auf die Welt der KI auszuweiten.

Fazit

Zweifellos sind LLMs eine der bahnbrechendsten Erfindungen des letzten Jahrzehnts, doch große Plattformen bieten heute oft keine robusten Datenschutzgarantien und machen Benutzerdaten anfällig für Ausbeutung. Diese Unternehmen können deine Chats mit KI nutzen, um ihre Systeme weiter zu trainieren, wodurch möglicherweise sensible Informationen, die du bereitstellst, preisgegeben werden. Noch problematischer ist, dass deine Daten möglicherweise für immer in einer Big-Tech-Datenbank verfügbar bleiben. Sie können jederzeit beschließen, Profit daraus zu schlagen, indem sie sie verkaufen oder an Dritte weitergeben – es wäre nicht das erste Mal(neues Fenster) – oder deine Chats könnten bei einem Datenleck offengelegt werden. Das politische Klima ist ebenfalls unsicher und niemand kann vorhersagen, was Regierungen tun werden, wenn sie auf deine Daten zugreifen.

Mit Lumo bieten wir eine private Alternative. Erstens werden deine Nachrichten im gesamten Netzwerk, einschließlich der internen Pipeline von Proton, verschlüsselt, bis sie das LLM erreichen, das keine Protokolle deiner Chats führt. Auf dem Rückweg wird die Antwort mit derselben Verschlüsselungsstrategie gesichert, um sicherzustellen, dass deine Nachricht niemals eine Netzwerkgrenze unverschlüsselt überschreitet. Zweitens wird dein Unterhaltungsverlauf mittels eines zweiten Verschlüsselungsprozesses Null-Zugriff-verschlüsselt. Wir verwenden eine klassische Verschlüsselung im Ruhezustand, geschützt durch das Konto-Passwort, das nur dem Benutzer bekannt ist. Dies verwendet dieselben kampferprobten Prinzipien wie die hinter Proton Mail, Proton Drive, Proton Pass und unseren anderen Diensten, die die Daten von über 100 Millionen Menschen schützen.

Letztendlich ist für uns wichtig, dass diese starken Garantien jedem zur Verfügung stehen, nicht nur technisch versierten Personen, die bereits nach Datenschutz-Tools suchen. Deshalb haben wir die Erfahrung so gestaltet, dass die Benutzer nicht über die Kryptographie dahinter nachdenken müssen. Hier wird Sicherheit unserer Ansicht nach wirklich nützlich – wenn sie praktisch ist.

Wir hoffen, du hast reibungslose, erfreuliche und – vor allem – sichere Diskussionen mit Lumo.